본문 바로가기

현장속으로/세미나

개인 정보 유출 사고의 재발을 막으려면

지난 3월 26일, 서울 교육문화회관 가야금홀에서는 전국 공공기관, 기업체, 보안전문가 등을 대상으로 하는 개인정보보호 컨퍼런스(G-PRIVACY 2013)가 열렸다. 

행사는 오전 9시부터 오후 5시 30분까지 이어졌으며, 이 중 KeyNote 3 은 소만사의 최일훈 부사장이 발표한 “최근 판례로 보는 개인정보유출사고 재발방지기능 소개”였다. 보안전문가가 아닌 일반 대학생이, 그것도 보안과는 다소 거리가 먼 전공을 공부하고 있는 내가 듣기에는 다소 어렵고 생소한 내용들이 있었으나, 구체적인 사례를 통해 기업이 어떠한 대응책을 마련해야 하는지를 살펴볼 수 있었던 유익한 발표였다.

2년 전 모 포탈에서 일어난 개인정보유출 사고 관련 법원 판결을 소개한 뒤, 각 기관에서 어떠한 방식으로 개인정보유출사고를 방지할 수 있을지를 이야기했다. 다음은 주요 내용.


*2년 전 모 포탈의 개인정보유출사고에 대한 위자료 배상 판결! WHY?

지난 2011년 7월, 모 포탈사이트가 가지고 있던 3,500만명의 개인정보가 유출되는 사고가 발생했다. 그리고 2년이 지난 2013년 2월, 법원은 집단소송을 건 원고 2800명에게 피고(모 포탈)는 각각 20만원씩 배상하라는 판결을 내렸다. 

이는, 해킹으로 인한 개인정보유출에 대하여 법원이 최초로 배상판결을 내린 사건이라는 점에서 큰 의의를 가진다. 특히 개인정보유출로 인한 정신적 피해나, 제 3자의 도용으로 인한 추가적 피해 등을 재판부가 인정한 것으로 사용자 정보를 보유한 여러 기관에 경종을 울리는 중요한 판결이라고 볼 수 있다.

그렇다면 어떠한 근거로 이러한 배상 판결이 이루어진 것일까? 법원은, 피고(모 포탈)가 선량한 관리자로서 기술적 관리적 보호조치 의무를 다하지 못 한 것으로 판단하였다. DB 관리자가 DB 접속 후 로그인한 상태로 퇴근하여 심야시간에 개인정보를 조회할 수 있도록 방치한 것, 대량의 개인정보를 파일로 생성한 것에 대한 이상징후를 탐지하지 못한 것, 개인정보의 외부유출을 모니터링하거나 통제하지 못한 것 등은 정보통신망법의 몇 개 항목을 어겼기에 피고(모 포탈)에게 책임을 묻게 된 것이다.


*기존의 DLP(Data Loss Prevention, 정보 유출 방지 기술)

이러한 판례를 통해 보았듯이, 각 기관의 보안 담당자들이 가져야 할 책임이 존재하고, 개인정보를 보호하기 위한 대책이 선행되어야 한다. 사실, 이를 위해 DLP(Data Loss Prevention, 정보 유출 방지) 기술이 존재하는데, 크게 4가지로 볼 수 있다.

- Discovery : 어디에 누가 어떤 정보를 가지고 있는지 파악하고, 적절한 조치(암호화, 삭제)를 하는 것 (ex: PC)

- Network DLP : 네트워크를 통해 유출되는 정보를 모니터링하고 차단하는 것

- Endpoint DLP : 단말의 외부 인터페이스를 통해 유출되는 정보를 모니터링하고 차단하는 것 (ex: 매체제어, USB/외장하드)

- DB DLP : DB상의 정보가 유출되는 것을 모니터링하고 차단하는 것


*DLP 개념의 확장이 필요하다!

그렇지만, 기존의 DLP 기술로는 제대로 된 정보 보호를 할 수 없다. 단지 기술에 의존하는 것이 아니라, 보안 관리자가 직접 모니터링하고 통제하면서 개인정보 보호를 위해 최선을 다해야 한다. 특히 기존의 DLP 범위를 뛰어넘어 더욱 넓은 범위로 확장해야만 한다.

Discovery 영역에서는, 누가 어떤 정보를 가지고 있는지 파악하고 조치를 할 때, PC에만 초점을 맞추는 것이 아니라 서버나 데이터베이스, 모바일 등으로 범위를 확장할 필요가 있다. 특히 최근에는 모바일 영역에서 정보 유출에 대한 기술이 아직까지 부족하기 때문에, 각 기관에서는 이에 유념할 필요가 있겠다.

또한, 메일이나 게시판, 웹하드나 각종 App 등의 네트워크를 통해 유출되는 정보를 잘 감시해야 하며, USB나 외장하드 뿐만 아니라 프린트를 통해 정보가 새나가는 것을 주의해야 한다. 특히 프린트물을 통한 개인정보 유출을 막기 위하여, 출력자 이름/일시가 워터마크되어 출력되는 기술적 보완이 필요하며, 개인정보를 출력하는 사람의 정보를 저장하고, 혹 필요 이상의 정보를 출력한다고 여겨질 때에는 차단하는 시스템이 필요하다.

최일훈 부사장의 말에 따르면, 해커의 공격은 이제 불특정 다수를 향하는 것이 아니라, 특정 집단이나 기관을 노리고 이루어진다. 그만큼 각 기관에서는 개인정보 유출을 막기 위한 ‘전쟁’을 더욱 치열하게 해야 한다. 그렇지만, 이를 단지 보안전문가의 몫으로만 돌릴 수는 없다. 우리 모두가 개인정보를 보호하기 위해 노력해야 개인정보유출사고의 재발을 막을 수 있지 않을까. Ahn


대학생기자 김지수 /  서울대 사회교육과,경영학과